紫队作为实战攻防演练的组织方,着眼于演练的整体局势,同时 兼顾着红蓝双方的演练成果与风险。通过制定合理的演练规则与完备 的应急预案,在确保不影响生产的前提下,利用攻防对抗的方式,可 以充分发挥蓝队的攻击技术水平,并充分展现每个参演单位的动态防 御、主动防御、纵深防御、精准防护、整体防护、联防联控的防守能 力;在展现蓝队个人专业技能和团体作战优势的同时,深度检验参演 单位系统的安全现状、应急响应机制的完善性、人员的应急处突能力 等。
下面将从如何高效地组织实战攻防演练(及演练的风险规避措 施)、组织攻防演练的5个阶段、组织沙盘推演的4个阶段三方面进行 介绍。
实战攻防演练通常以实际运行的信息系统作为演练目标,通过有 监督的攻防对抗,最大限度地模拟真实的网络攻击,以检验信息系统 的安全性和运维保障的有效性。演练在保障业务系统安全性的前提 下,明确目标系统,不限制攻击路径,以提权、控制业务、获取数据 为目的。实战攻防演练包含攻击、防守、组织三方,并配备实战攻防 演练平台。组织方负责演练整体工作的组织协调,主要包括以下几部 分:演练组织、演练过程监控、演练技术指导、应急保障、演练总 结、防守技术措施与策略优化建议等。实战攻防演练一般可分为准 备、演练、收尾三个阶段。
实战攻防演练的组织要素
实战攻防演练的组织要素包括组织单位、技术支撑单位、攻击 队、防守队四部分。
组织单位负责总体把控、资源协调、演练准备、演练组织、演练 总结、落实整改等工作。
技术支撑单位由专业安全公司担任,负责提供对应的技术支撑和 保障,进行攻防对抗演练环境搭建和攻防演练可视化展示。
攻击队一般由多家安全厂商独立组建,每支攻击队一般配备3~5 人。在获得授权的前提下,以资产探查、工具扫描和人工渗透为主进 行渗透攻击,以获取演练目标系统权限和数据。
防守队由来自参演单位、安全厂商等的人员组成,主要负责对防 守队所管辖的资产进行防护,尽可能阻止蓝队拿到权限和数据。
实战攻防演练的组织形式
从实际需要出发,实战攻防演练的组织形式主要有以下两种。
1)由国家、行业主管部门、监管机构组织的演练。此类演练一般 由各级公安机关、各级网信部门、政府、金融、交通、卫生、教育、 电力、运营商等国家、行业主管部门或监管机构组织开展。针对行业 关键信息基础设施和重要系统,组织攻击队及行业内各企事业单位进 行网络实战攻防演练。
2)大型企事业单位自行组织的演练。金融企业、运营商、行政机 构、事业单位及其他政企单位,针对业务安全防御体系建设有效性的 验证需求,组织攻击队及企事业单位进行实战攻防演练。
实战攻防演练的组织关键
要保证实战攻防演练顺利实施,关键在于组织工作。关键的组织 工作包括确定演练的范围、周期、场地和设备,组建攻防队伍,制定 规则,录制视频等多方面。
1)演练范围:优先选择重点(非涉密)关键业务系统及网络。 2)演练周期:结合实际业务开展,一般建议1~2周。
3)演练场地:依据演练规模选择相应的场地,要能够容纳组织单 位、攻击队、防守队,且三方场地要分开。
4)演练设备:搭建攻防演练平台、视频监控系统,为攻击方人员 配发专用电脑(或提供虚拟攻击终端)等。
5)攻击队组建:选择参演单位自有人员或聘请第三方安全服务商 专业人员组建。
6)防守队组建:以各参演单位自有安全技术人员为主,以第三方 安全服务商专业人员为辅组建。
7)演练规则制定:演练前明确制定攻击规则、防守规则和评分规 则,保障攻防过程有理有据,避免攻击过程对业务运行造成不必要的 影响。
8)演练视频录制:录制演练全过程的视频,作为演练汇报材料及 网络安全教育素材,内容包括演练工作准备、攻击队攻击过程、防守 队防守过程及裁判组评分过程等。
实战攻防演练前须制定攻防演练约束措施,规避可能出现的风 险,明确提出攻防操作的限定规则,保证攻防演练能够在有限范围内 安全开展。
实战攻防演练的风险规避措施
(1)演练限定攻击目标系统,不限定攻击路径
演练时,可通过多种路径攻击,不对攻击队所采用的攻击路径进 行限定。在攻击路径中发现安全漏洞和隐患,攻击队应将实施的攻击 及时向演练指挥部报备,不允许对其进行破坏性的操作,避免影响业 务系统正常运行。
(2)除非经授权,演练不允许使用拒绝服务攻击
由于演练在真实环境下开展,为不影响被攻击对象业务的正常开 展,除非经演练主办方授权,演练不允许使用SYN Flood、CC等拒绝服 务攻击手段。
(3)网页篡改攻击方式的说明
演练只针对互联网系统或重要应用的一级或二级页面进行篡改, 以检验防守队的应急响应和侦查、调查能力。演练过程中,攻击队要 围绕攻击目标系统进行攻击渗透,在获取网站控制权限后,需先请示 演练指挥部,获同意后在指定网页张贴特定图片(由演练指挥部下 发)。如目标系统的互联网网站和业务应用防护严密,攻击队可以将 与目标系统关系较为密切的业务应用作为渗透目标。
(4)演练禁止采用的攻击方式
实战攻防演练中的攻防手法也有一些禁区。设置禁区的目的是确 保通过演练发现的信息系统安全问题真实有效。一般来说,禁止采用 的攻击方式主要有三种:
1)禁止通过收买防守队人员进行攻击; 2)禁止通过物理入侵、截断并监听外部光纤等方式进行攻击; 3)禁止采用无线电干扰机等直接影响目标系统运行的攻击方式。 (5)攻击方木马使用要求
木马控制端须使用由演练指挥部统一提供的软件,所使用的木马 应不具有自动删除目标系统文件、损坏引导扇区、主动扩散、感染文 件、造成服务器宕机等破坏性功能。演练禁止使用具有破坏性和感染 性的病毒、蠕虫。
(6)非法攻击阻断及通报
为加强对各攻击队攻击的监测,通过攻防演练平台开展演练全过 程的监督、记录、审计和展现,避免演练影响业务正常运行。演练指 挥部应组织技术支撑单位对攻击全流量进行记录、分析,在发现不合 规攻击行为时阻断非法攻击行为,并转由人工处置,对攻击队进行通 报。